A proteção de dados pessoais na Constituição: o impacto da EC 115

A Lei Geral de Proteção de Dados (Lei n° 13.709/2018) foi sancionada em 2018, época em que a proteção de dados pessoais era pouco conhecida pelo público em geral. Considerando o seu impacto em diversos segmentos de atividades, públicos e privados, e a complexidade de adequação à LGPD, o legislador concedeu o prazo de dois anos para o início da sua vigência, ou seja, para que fosse efetivamente aplicável. O marco inicial de vigência da LGPD, previsto para agosto de 2020, coincidiu com a crise generalizada provocada pela pandemia da Covid-19, por isso se deu um impasse quanto à sua entrada em vigor. Superadas as discussões, a LGPD entrou em vigor em 18 de setembro de 2020 e as penalidades administrativas podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) desde 1° de agosto de 2021.

Nessa esteira, o Congresso Nacional promulgou no último dia 10 a Emenda Constitucional nº 115, que inseriu o inciso LXXIX no artigo 5° da Constituição Federal. Assim, a proteção de dados pessoais foi definitivamente consagrada como um direito fundamental, assim como o direito à vida, de acesso à Justiça e todas as demais garantias constitucionais. Consequentemente, a proteção de dados se torna uma cláusula pétrea, não podendo ser alterada por emendas constitucionais, e atrai a competência do Supremo Tribunal Federal para apreciar a questão no âmbito dos recursos.

Embora a adequação à Lei Geral de Proteção de Dados já seja objeto de atenção de empresas privadas e também de entes públicos, a mudança na Constituição brasileira sinaliza que o Poder Judiciário ficará ainda mais atento às violações à lei, bem como espera-se maior rigor com aqueles que forem negligentes ou imprudentes nas atividades de tratamento de dados pessoais.

Outro aspecto bastante relevante trazido pela Emenda Constitucional nº 115/2022 se deu com a alteração do artigo 21 da Constituição, para atribuir à União a competência exclusiva para "organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei" (inciso XXVI). Ou seja, caberá somente à União a fiscalização quanto ao cumprimento da LGPD e a regulamentação de alguns pontos não disciplinados pela lei, cuja competência é atribuída à Autoridade Nacional de Proteção de Dados. Entretanto, é importante enfatizar que alguns aspectos relacionados à proteção de dados pessoais coincidem com outras matérias, como o Direito do Consumidor e o Direito do Trabalho. Por isso, podemos esperar que órgãos de defesa do consumidor continuem atuando na proteção de dados pessoais de consumidores, quando ficar configurada potencial violação ao Código de Defesa do Consumidor, sendo necessário respeitar a esfera de atuação do referido órgão e da ANPD. A mesma ideia se aplica para os entes competentes para defesa coletiva dos direitos de trabalhadores, como sindicatos e o Ministério Público do Trabalho.

A Emenda Constitucional nº 115/2022 alterou, ainda, o artigo 22 da Constituição Federal para atribuir à União a competência exclusiva para legislar sobre "proteção e tratamento de dados pessoais" (inciso XXX). Ressaltamos que encontramos diversas leis estaduais disciplinando o tratamento de dados pessoais no seu âmbito de atuação. Essas leis podem ser consideradas inconstitucionais a partir de agora? A resposta a essa questão depende do conteúdo das leis locais. É necessário fazer uma interpretação para compatibilizar o artigo 22, inciso XXX, da Constituição Federal com os dispositivos da LGPD que disciplinam o tratamento de dados pessoais pelo poder público.

Segundo a LGPD, as pessoas jurídicas de direito público podem realizar o tratamento de dados pessoais para atender a sua finalidade pública, o interesse público e executar as suas competências legais ou prestar serviço público. Assim como os agentes privados, o poder público deve indicar um encarregado e adotar medidas de segurança e boas práticas no tratamento de dados pessoais. Antes mesmo do início da vigência da LGPD, alguns estados e municípios editaram normas locais para designar seu encarregado e disciplinar alguns aspectos sobre as boas práticas no tratamento de dados pessoais no seu âmbito de atuação. Citamos a título exemplificativo o Decreto do estado de São Paulo nº 65.347, de 09/12/2020, que nomeou o encarregado de proteção de dados, previu as suas atribuições, assim como as do Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo. O Decreto do estado de Pernambuco nº 49.265, de 6/8/2020, institui a Política Estadual de Proteção de Dados Pessoais do Poder Executivo Estadual, em consonância com a LGPD. O estado do Paraná também publicou decretos para regulamentar a aplicação da LGPD no âmbito da Administração Pública estadual direta, autárquica e fundacional do Poder Executivo, para nomear o encarregado, e outro para instituir o Comitê Gestor de Proteção de Dados Pessoais (CGPDP), no âmbito da Controladoria-Geral do Estado.

As legislações estaduais e municipais podem disciplinar o tratamento de dados pessoais no seu âmbito de atuação, desde que observados os dispositivos da LGPD e as diretrizes da Autoridade Nacional de Proteção de Dados. De acordo com o Guia Orientativo da ANPD para tratamento de dados pessoais pelo Poder Público, "a ANPD é o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para sua implementação, no que se inclui a deliberação administrativa, em caráter terminativo, sobre a interpretação da lei e sobre as suas próprias competências e casos omissos (artigo 55-K, parágrafo único; artigo 55-J, XX)". Assim, as leis locais não podem disciplinar o tratamento de dados pessoais fora do seu escopo de atuação.